СОИБ. Автоматизация анализа рисков ИБ
Оценка рисков ИБ является основой
риск-ориентированного подхода к обеспечению ИБ, когда обосновываются и внедряются
только те мероприятия по ИБ, которые необходимы уменьшения или нейтрализации
неприемлемых рисков ИБ.
Оценка рисков ИБ является обязательным
требованием законодательства РФ:
·
161-ФЗ «О НПС» и подзаконных актов;
o
Требования ЦБ РФ;
o
Требования PCI DSS;
o
Требования других операторов ПС;
·
152-ФЗ «О ПДн» и подзаконных актов (Оценка
вреда, моделирование угроз – часть оценки рисков ИБ);
·
документы по КСИИ (разработанные, но не
опубликованные).
Оценка рисков ИБ необходима для
соответствия таким Российским и международным
стандартам в области ИБ, как:
·
Группа стандартов ISO 27001;
·
COBIT 5 for
Information Security;
·
SOX;
·
СТО БР ИББС
и других.
Причин и преимуществ применения риск-ориентированного
подхода к обеспечению ИБ много, и всё больше компаний выбирают этот путь.
Как правило, оценка рисков ИБ включает
в себя следующие мероприятия:
·
определение и документирование политик оценки
рисков;
·
классификация информационных активов;
·
идентификация и документирование информационных
активов;
·
идентификация и документирование угроз ИБ;
·
оценка вероятности реализации угроз и степени тяжести последствий реализации
угроз;
·
оценка и документирование рисков ИБ;
·
планирование обработки рисков ИБ;
·
документирование результатов обработки рисков.
Мероприятия эти достаточны объемные (моязаметка о трудозатратах) и хочется по максимуму автоматизировать этот процесс.
На рынке существует достаточно много средств автоматизации оценки рисков ИБ: CRAMM,
CounterMeasures, Гриф, РискМенеджер, Risk Watch – но они по разным причинам для
меня стали неактуальны.
Наибольший интерес вызвали у меня 2
свежих продукта российских производителей: BCM-Analyser от IRADD и Risk Manager от ISMSystems. Демо-версии которых я решил
протестировать и сравнить (демо-версия Risk Manager появилась несколько дней
назад). Результаты сравнения привожу в таблице ниже.
Разработчики обоих продуктов отмечают, что каталоги уязвимостей, угроз, контрмер в демо-версии урезанные, в полных версиях существенно шире и постоянно пополняются. Например, в каталоге Risk Manager сейчас более 80 уязвимостей, 22 угроз, 70 способов их реализации, 100 контрмер. Аналогичная ситуация и с BCM-Analyser.
Оба продукта показались достаточно
интересными. Основаны на своих собственных комбинированных методиках оценки
рисков ИБ.
Risk Manager произвел впечатление
большей свежести интерфейса и идей. Его сильная сторона в детальном
моделировании угроз, но есть и упрощенный мастер оценки.
BCM-Analyser видится более подходящим
для четкого финансового обоснования выбираемых контрмер. Только вот оценивание всего возможного вреда в
рублях занятие очень трудоемкое.
Параскриншотов BCM-Analyser:
Параскриншотов Risk Manager:
Комментарии
Я вот увидел автоматизацию анализа.
Например в Risk Analyser автоматический высчитывается уровень риска и сумма возможного ущерба. Потому уже можешь подправить руками если хочешь.
Так-же автоматизируются такие действия как ведение всей информации в единой базе а не в отдельных файлах или документах, возможность делать одну оценку на основе предыдущей и ещё документирование и отчетность.
Про "автоматизацию Анализа рисков" скорее склонен согласится с Артемом. Продукты скорее автоматизируют именно оценку, но посмотрю еще непосредственно сам продукт.
Кое-что автоматизируется. Степень автоматизации я указал в соответствующем разделе таблицы.
Главное чтобы суммарные трудозатраты на анализ рисков ИБ скажем в течении 3 лет уменьшались на сумму большую чем стоимость ПО.